안녕하세요. Control Tower Workshop 실습을 진행하며 이해한 내용을 정리했습니다.
Control Tower를 이해하기 위해 Account에 대해 우선 이해해보면,
- Account : AWS 리소스를 포함하는 것으로 이러한 리소스에 액세스할 수 있는 자격 증명
AWS Organizations은 중앙에서 모든 AWS 계정을 관리할 수 있도록 도와줍니다. 즉, Multi Account를 관리할 수 있습니다. (링크)
AWS Organizations Concepts
- Organization : AWS 계정을 단일 단위로 관리할 수 있도록 통합하기 위해 생성하는 개체입니다.
- Root : 조직의 모든 계정에 대한 상위 컨테이너입니다. 정책을 루트에 적용하면, 해당 정책은 조직의 모든 조직 단위(OU)와 계정에 적용됩니다.
- 조직 단위(OU) : 루트에 있는 계정을 위한 컨테이너입니다. 각 OU는 상위 OU를 하나만 가질 수 있으며, 현재 각 계정은 한 OU의 멤버만 될 수 있습니다.
- Account : Organizations의 계정은 AWS 리소스를 포함하는 표준 AWS 계정으로, 이러한 리소스에 액세스할 수 있는 자격 증명입니다.
- 서비스 제어 정책(SCP) : SCP의 영향을 받는 계정에서 사용자와 역할이 사용할 수 있는 서비스와 작업을 지정하는 정책입니다. SCP는 권한을 부여하지 않는다는 점을 제외하고 IAM 권한 정책과 비슷합니다. 대신, SCP는 조직, 조직 단위(OU) 또는 계정에 대한 최대 권한을 지정합니다. SCP를 조직 루트 또는 OU에 연결하면 SCP가 멤버 계정의 개체에 대한 권한을 제한합니다.
자세한 내용은 이전 IAM&Organization 블로그 게시글을 참고해주세요.
Organization 을 사용하면 OU, 보안 설정 등을 수동으로 해줘야 하기 때문에 나중에 OU 등이 추가되면 관리복잡성이 증가하게 됩니다. 이러한 관리복잡성을 줄이고 클라우드 계정을 빠르고 일관되고 안전하게 프로비저닝하기 위해 Control Tower를 사용합니다. 즉, Control Tower를 통해 보안 규정이 준수 된 계정 배포를 자동화해줍니다.
AWS Control Tower 주요 기능
- Best Practice 기반의 자동화된 Landing Zone구성
- AWS Best Practice 보안 정책 사전 구성
- 계정 프로비저닝을 위한 Account Factory
- 가시성 확보 및 추가적인 조치를 위한 대시보드
- 빌트인 ID 및 권한 관리(IAM)
- 사전 구성된 로그 아카이브 및 계정에 대한 감사 엑세스
- 빌트인 모니터링 및 Notification 환경 구성
- AWS Marketplace를 통해 제공되는 ISV 솔루션으로 확장 가능
AWS Control Tower 적용 이유
- AS-IS Pain Point : 클라우드 보안 요건의 차별성 필요, IT 거버넌스 수립 필요성, 클라우드 구성 및 운영 경험 부재, Landing Zone 기능 개선, 운영관리 편의성 개선 등
AWS Control Tower를 이해하기 위해 아래 자료를 참고했습니다.
[참고] AWS Docs — AWS Control Tower Best Practice
[참고] LG CNS — AWS Control Tower POC
[참고] Megazone Cloud — AWS Landing Zone 솔루션을 AWS Control Tower로 마이그레이션하기
[참고] Bespin Global — AWS Built on Control Tower
실습
[참고] AWS Control Tower Workshop
- IAM Identity Center : User가 IAM Identity Center에 접근해서 해당 User와 매핑된 계정에 접근할 수 있습니다.
- 다양한 보안 정책 기준을 Control Tower에서 강제 (Prevention) 하거나 탐지(Detection) 할 수 있습니다.
- Account Factory Customization(AFC) — Service Catelog
- AWS Control Tower LifeCycle Events
- Customization for Control Tower(CFCT)
- Account Factory Terraform(AFT)
- 리전 제한 설정 중요
참고로 AWS Control Tower 적용 시 AWS partner를 통해 AWS를 구매하여 이용하는 경우 payer account는 AWS partner가 소유하고 관리하게됩니다. 기업 고객은 member account만 생성하고 이용할 수 있습니다. management account(payer account)와 관련된 부분은 상호협의 하에 root 계정 등의 권한 분리를 통해 관리하게 됩니다.
blog migration project
written in 2023.7.28
https://medium.com/techblog-hayleyshim/aws-control-tower-6844e8c0d373
'IT > Infra&Cloud' 카테고리의 다른 글
| [aws] Service Catalog - Terraform Engine (0) | 2023.10.30 |
|---|---|
| [gcp] Cloud ID로 조직 생성&테라폼 배포 (0) | 2023.10.30 |
| [aws] EKS Automation (0) | 2023.10.30 |
| [aws] EKS Security (0) | 2023.10.30 |
| [aws] EKS Autoscaling (0) | 2023.10.30 |